5.2.2.3云環(huán)境下網(wǎng)絡(luò)流量監(jiān)控

為避免網(wǎng)絡(luò)攻擊對(duì)云系統(tǒng)的危害，需要在網(wǎng)絡(luò)行為分析的基礎(chǔ)上，根據(jù)特定的安全策略對(duì)網(wǎng)絡(luò)流量進(jìn)行審計(jì)。審計(jì)的方法可以包括：關(guān)鍵字、關(guān)鍵協(xié)議、關(guān)鍵數(shù)據(jù)來源等。本節(jié)主要討論物理網(wǎng)絡(luò)的流量監(jiān)控，關(guān)于虛擬機(jī)網(wǎng)絡(luò)監(jiān)控可參見本章5.2.1小節(jié)IaaS安全。

網(wǎng)絡(luò)流量審計(jì)主要使用深度包檢測(cè)技術(shù)(DPI，deep packet inspection)和深度流檢測(cè)技術(shù)(DFI，deep flow inspection)技術(shù)。

(1) DPI技術(shù)

DPI技術(shù)是一種基于應(yīng)用層的流量檢測(cè)和控制技術(shù)，可通過分光等方式檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流出入。當(dāng)IP數(shù)據(jù)分組、TCP或UDP數(shù)據(jù)流通過基于DPI系統(tǒng)時(shí)，該系統(tǒng)通過深入讀取IP分組載荷的內(nèi)容來對(duì)OSI 7層協(xié)議中的應(yīng)用層信

息進(jìn)行重組，從而得到整個(gè)應(yīng)用程序的內(nèi)容。通過DPI技術(shù)分析IP報(bào)文中4～7層數(shù)據(jù)，識(shí)別業(yè)務(wù)類型、用戶訪問目標(biāo)地址、用戶接入方式、終端類型、位置等信息。

(2) DFI技術(shù)

在網(wǎng)絡(luò)行為分析過程中，DFI技術(shù)可以作為DPI技術(shù)的補(bǔ)充。DFI與DPI進(jìn)行應(yīng)用層的載荷匹配不同，采用的是一種基于流量行為的應(yīng)用識(shí)別技術(shù)，即不同的應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同，并以此為特征量對(duì)流量進(jìn)行識(shí)別。